はじめての自宅サーバ構築 - Fedora/CentOS - Last Update 2008/11/05
It opened to 2004/09/19. Visitors
Pageviews
Today(IP/PV)		 3,583,851
14,025,139
1,173/6,903
このページは表示専用です。新規投稿・レスや最新情報はこちらです。

このスレッドはクローズされています。記事の閲覧のみとなります。
bind-chrootの導入について
日時: 2007/11/20 01:52
名前: V2

@不明点・障害内容:chrootインストール後の、ファイルのオーナ:グループについて
BDistribution Version:CentOS5
CService Name Version:BIND 9.3.3rc2
Dネットワーク構成:DHCPとDNSの連携・LAN(PC2台)

bind-chootをインストールしましたが、現状で、chrootパスでアクセス禁止にできたのかが分かりません。
データは、以下の通りです。

---------------------------------------------------
ps -ef | grep named
named /usr/sbin/named -u named -c /etc/named.caching-nameserver.conf -t /var/named/chroot

---------------------------------------------------
ls -l /etc/named.caching-nameserver.conf
lrwxrwxrwx 1 root named /etc/named.caching-nameserver.conf -> /var/named/chroot//etc/named.caching-nameserver.conf

---------------------------------------------------
ls -l /var/named/
合計 12
lrwxrwxrwx 1 root named  *.168.192.in-addr.arpa.db -> /var/named/chroot//var/named/*.168.192.in-addr.arpa.db
lrwxrwxrwx 1 root named  *.168.192.in-addr.arpa.db.jnl -> /var/named/chroot//var/named/*.168.192.in-addr.arpa.db.jnl
drwxr-x--- 6 root named  chroot
drwxrwx--- 2 named named  data
lrwxrwxrwx 1 root named  localdomain.zone -> /var/named/chroot//var/named/localdomain.zone
lrwxrwxrwx 1 root named  localhost.zone -> /var/named/chroot//var/named/localhost.zone
lrwxrwxrwx 1 root named  named.broadcast -> /var/named/chroot//var/named/named.broadcast
lrwxrwxrwx 1 root named  named.ca -> /var/named/chroot//var/named/named.ca
lrwxrwxrwx 1 root named  named.ip6.local -> /var/named/chroot//var/named/named.ip6.local
lrwxrwxrwx 1 root named  named.local -> /var/named/chroot//var/named/named.local
lrwxrwxrwx 1 root named  named.zero -> /var/named/chroot//var/named/named.zero
drwxrwx--- 2 named named  slaves
lrwxrwxrwx 1 root named  aaa.bbb.com.db -> /var/named/chroot//var/named/aaa.bbb.com.db
lrwxrwxrwx 1 root named  aaa.bbb.com.db.jnl -> /var/named/chroot//var/named/aaa.bbb.com.db.jnl

------------------------------------------------------
tree -pug /var/named/chroot/etc/
/var/named/chroot/etc/
|-- [-rw-r--r-- root   root  ] localtime
|-- [-rw-rw---- root   named  ] named.caching-nameserver.conf
|-- [-rw-r----- root   named  ] named.rfc1912.zones
|-- [-rw-rw---- root   named  ] named.aaa.bbb.com.zones
`-- [-rw-r--r-- root   named  ] rndc.key

-------------------------------------------------------
tree -pug /var/named/chroot/var/
/var/named/chroot/var/
|-- [drwxrwx--- root   named  ] named
|  |-- [-rw-rw---- named  named  ] *.168.192.in-addr.arpa.db
|  |-- [-rw-rw---- named  named  ] *.168.192.in-addr.arpa.db.jnl
|  |-- [drwxrwx--- named  named  ] data
|  |  |-- [-rw-rw---- named  named  ] named.run
|  |  `-- [-rw-rw---- named  named  ] named_mem_stats.txt
|  |-- [-rw-r----- root   named  ] localdomain.zone
|  |-- [-rw-r----- root   named  ] localhost.zone
|  |-- [-rw-r----- root   named  ] named.broadcast
|  |-- [-rw-r----- root   named  ] named.ca
|  |-- [-rw-r----- root   named  ] named.ip6.local
|  |-- [-rw-r----- root   named  ] named.local
|  |-- [-rw-r----- root   named  ] named.zero
|  |-- [drwxrwx--- named  named  ] slaves
|  |-- [-rw-rw---- named  named  ] aaa.bbb.com.db
|  `-- [-rw-rw---- named  named  ] aaa.bbb.com.db.jnl
|-- [drwxrwx--- root   named  ] run
|  |-- [drwxr-xr-x root   root  ] dbus
|  |  `-- [srwxrwxrwx root   root  ] system_bus_socket
|  `-- [drwxrwx--- named  named  ] named
|    `-- [-rw-r--r-- named  named  ] named.pid
`-- [drwxrwx--- named  named  ] tmp

以上ですが、
/etc/named.caching-nameserver.confと、/var/named/配下のファイル(リンク)のオーナとグループが、
「lrwxrwxrwx 1 root named」となっています。ここは、
「lrwxrwxrwx 1 root root」 のように、グループはrootでなくても良いのでしょうか?
また、実際にchrootが適用されているのを具体的に確かめるにはどうしたら良いでしょうか?

ご教示を、よろしくお願いします。
Re: bind-chrootの導入について ( No.1 )
日時: 2007/11/21 01:04
名前: Jin

Jinです。

先ず、「bind-chroot」の目的および機能を再度確認してください。
namedは、実行時に「named」ユーザの権限で実行されますので、rootの権限で実行される
より安全と言え更にchroootを行うことでアクセス範囲を限定しセキュリティを保っています。

ファイルやディレクトリのオーナ/グループは、実行時に書き込みを行わない限り(設定内容による)
rootでもnamedでも実行できれば関係ないともいます。

確認方法ですが、本サイトにも記載されていますが、「nslookup」や「dig」コマンドなどで
定義されている内容(正引きや逆引き)が正常に機能すればよいのではないでしょうか。
Re: bind-chrootの導入について ( No.2 )
日時: 2007/11/21 21:59
名前: V2

はじめまして、Jinさん。

chroot後のファイル(/var/named/chroot配下のもの)のパーミションは、
namedでもrootでもいいことが分かりました。
実際には、一般に、この場合のオーナ/グループは、皆さんはどうしているのでしょうか?
私は、セキュリティから、named:namedに変更しようと思うのですが。
できれば、Jinさんの考えをお聞かせ願えればと思います。
Re: bind-chrootの導入について ( No.3 )
日時: 2007/11/21 23:40
名前: Jin

Jinです。

こんばんは、V2さん。

私は、「caching-nameserver」の環境をインストールしたことがないので正確な情報提供は
出来ませんが、「bind」および「bind-chroot」をインストールした場合(CentOS4)では、
オーナ/グループは、全てnamedになっていて、オーナがrootになっている様な状況は見たことは
ありません。

今回のファイル構造から見ると構築されているのは、外部に公開していない内部のキャッシュ
専用のnamedと見えますので、オーナがrootでもnamedでもあまり気にする必要はないと思います。

セキュリティの観点からであれば、ファイルのオーナは、namedよりrootの方が良いと思います。
bindでは、「バッファオーバフローを用いた攻撃」が有名ですが、セキュリティ対策として
以下の対策(歴史)が行われました。

・namedが「バッファオーバフローを用いた攻撃」でサーバ上で不正なバイナリが実行された
 場合、rootの権限で実行されている場合、攻撃コードもrootの権限で実行されるので
 非常に危険です。
  → namedを一般ユーザ(namedユーザ)の権限で実行することを推奨(既定値)する。
  → namedをchroot(通常は、/var/named/chroot)の環境下で実行することにより
    不正なバイナリが実行されてもシステムに悪影響を及ぼす範囲を局所化する
    事により被害を最小限に抑えることが出来る。

よって、何処までセキュリティの強化を行うかによりますが、外部公開している
namedでファイルのオーナもnamedの場合、そのファイルを改竄される可能性が
発生します。(確率的には??ですが。)
よって、ファイルのオーナがrootであれば、ファイルの改竄防止にはなると思います。
但し、あまりファイルやディレクトリのオーナを変更すると正常に動作しなくなりますので
十分な注意が必要です。
Re: bind-chrootの導入について ( No.4 )
日時: 2007/11/22 22:46
名前: V2

Jinさん、今晩は。

丁寧な説明をありがとうございます。
具体的に書いてくださったので、非常に助かりました。

>今回のファイル構造から見ると構築されているのは、外部に公開していない内部のキャッシュ
>専用のnamedと見えますので、オーナがrootでもnamedでもあまり気にする必要はないと思います。

DynamicDNSなので、ファイル構造はそうなのですが、外部に公開するつもりです。(^^;
今後も、機会があれば、よろしく、ご教示ください。
(お待ち申し上げております。m(_ _)m)
Copyright(©)2004-2008 First home server construction. All Right Reserved.